Halllo Liste! Kennt jemand oder hat jemand ein wirklich restrictives Firewall ruleset für iptables 1.2.2 für suse 7.3 für einen Standalone PC nur mit einfachen T-DSL Zugangohne jegliche Serverdienste mit T-DSL?, wo auch smurf, IP-SPOOF, dDDOs und Fragmentation berücksichtigt sind? Wie blockiere ich die ports für XWindows (6000) und den Drucker lp (515)? Wie lautet die Syntax für jede x-beliebige destination IP Adressse? Wie rufe ich die dynamisch vergebene IP adresse im Firewallscript auf? Welches sind nun die Internal und External Interfaces, wenn man eth0,ppp0und pppoe hat? Wie initialisiert man die Firewall? Wenn sich jemand ein wenig besser auskennt, wäre ich für eine Hilfe sehr dannbar Ty -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hallo, at Sat, 23 Feb 2002 13:30:30 +0100 (MET) Lo32LaBelle63@gmx.net wrote:
Wenn sich jemand ein wenig besser auskennt, wäre ich für eine Hilfe sehr dannbar
1. Wäre ein Realname nicht schlecht. 2. Durchsuche mal das Archiv. Ein Thread zu iptables ist hier schon des öfteren gelaufen. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379 ++ Webdesign ++ PHP Development ++
Hallo,
at Sat, 23 Feb 2002 13:30:30 +0100 (MET) Lo32LaBelle63@gmx.net wrote:
Wenn sich jemand ein wenig besser auskennt, wäre ich für eine Hilfe sehr dankbar
1. Wäre ein Realname nicht schlecht. ----->Vielen Dank für Ihre "Hilfe", aber das ist eine Mailingliste und keine Flirtliste
2. Durchsuche mal das Archiv. Ein Thread zu iptables ist hier schon des öfteren gelaufen. --------> Sie mögen recht haben, aber ich werde momentan von einem Hacker schlimm terrorisiert, der mit allerlei kriminalistischem Unfug (Smurf, IP-Spoof, man in the middle Attacks ) seine "Künste" unter Beweis stellt, so das ich nicht ohne weiteres wie Sie vielleicht mich im Internet aufhalten kann und sehr schnell diese iptables-syntax implementieren muss. Wenn man das vorher noch nie gemacht hat, kann es zu einer erheblichen Arbeit ausarten, und wenn jemand über Wissen verfügt, was einem schnell helfen kann, warum sollte er dem anderen nicht helfen. Ich würde es jedenfalls tun. Sie etwa nicht?
Gruß Michael
----------> Mit freundlichen Grüßen Ihre mit realen Namen exestierende LaBelle
-- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379 ++ Webdesign ++ PHP Development ++
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
* On Sat, 23 Feb 2002 at 16:40 +0100, Lo32LaBelle63@gmx.net wrote:
at Sat, 23 Feb 2002 13:30:30 +0100 (MET) Lo32LaBelle63@gmx.net wrote:
Wenn sich jemand ein wenig besser auskennt, wäre ich für eine Hilfe sehr dankbar
1. Wäre ein Realname nicht schlecht. ----->Vielen Dank für Ihre "Hilfe", aber das ist eine Mailingliste und keine Flirtliste
Diese Mailingliste hat eine Etikette, nachzulesen unter anderem hier: http://www.suse-etikette.de.vu/ Trotzdem vielen Dank für die Aufklärung, das ist mir noch gar nicht aufgefallen.
2. Durchsuche mal das Archiv. Ein Thread zu iptables ist hier schon des öfteren gelaufen. --------> Sie mögen recht haben, aber ich werde momentan von einem Hacker schlimm terrorisiert, der mit allerlei kriminalistischem Unfug (Smurf, IP-Spoof, man in the middle Attacks ) seine "Künste" unter Beweis stellt, so das ich nicht ohne weiteres wie Sie vielleicht mich im Internet aufhalten kann und sehr schnell diese iptables-syntax implementieren muss.
Stecker rausziehen. BTW: Gegen dDoS kann man schelcht eine Regel implementieren, denk mal genau nach.
Wenn man das vorher noch nie gemacht hat, kann es zu einer erheblichen Arbeit ausarten,
Wem sagst Du das?
und wenn jemand über Wissen verfügt, was einem schnell helfen kann, warum sollte er dem anderen nicht helfen. Ich würde es jedenfalls tun. Sie etwa nicht?
Doch, das würde ich. Aber nicht jedem. Nicht wenn jemandem, der so rumpflaumt, wie Du. Hier bekommst Du keinen Support auf Knopfdruck. Hier bekommst Du Hilfestellung von Leuten, die in Ihrer Freizeit x Stunden darin investieren, anderen bei Problemen zu helfen. Du hast keinerlei - wie auch immer gearteten - Anspruch, hier irgendwie eine Antwort zu kriegen. Wenn Du eine Antwort willst, dann passe Dich der Gruppe an. Warum sollte ich jemandem, der unfreundlich ist, und mir nicht mal sagen möchte, wie er heisst, helfen? Warum? Bin ich blöd? Interessiert mich doch gar nicht. Ich habe bessere Sachen zu tun. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hallo Leute, * Am 23.02.2002 um 16:46 Uhr schrieb Adalbert Michelic:
* On Sat, 23 Feb 2002 at 16:40 +0100, Lo32LaBelle63@gmx.net wrote:
at Sat, 23 Feb 2002 13:30:30 +0100 (MET) Lo32LaBelle63@gmx.net wrote: 1. Wäre ein Realname nicht schlecht. ----->Vielen Dank für Ihre "Hilfe", aber das ist eine Mailingliste und keine Flirtliste
@Lo32LaBelle63 Mit dieser Einstellung wirst Du hier nicht weit kommen. Wer nicht bereit ist seinen Realname zu nennen, der kann auch dauerhaft nicht auf die Hilfe von Freiwilligen bauen.
Diese Mailingliste hat eine Etikette, nachzulesen unter anderem hier: http://www.suse-etikette.de.vu/
Sehr empfehlenswert!
2. Durchsuche mal das Archiv. Ein Thread zu iptables ist hier schon des öfteren gelaufen. --------> Sie mögen recht haben, aber ich werde momentan von einem Hacker schlimm terrorisiert, der mit allerlei kriminalistischem Unfug (Smurf, IP-Spoof, man in the middle Attacks ) seine "Künste" unter Beweis stellt, so das ich nicht ohne weiteres wie
Halte ich für recht übertrieben, aber was soll's...
Sie vielleicht mich im Internet aufhalten kann und sehr schnell diese iptables-syntax implementieren muss.
Wird bei T-DSL keine dynamische IP vergeben? Mit dem folgenden kleinen Script solltes Du in der Lage sein, ohne größere Gefahr >selbstständig< nach Informationen über <iptables> und den Bau von Firewalls zu suchen. ---[ schnipp / ungetestet ]--- #!/bin/bash # Externe Programme definieren IPTABLES='/usr/sbin/iptables' MODPROBE='/sbin/modprobe' # Schnittstellen definieren INTERN=lo EXTERN=ppp0 #<< Hier an T-DSL anpassen # Nur absolut notwendige Module laden. $MODPROBE --autoclean --syslog ip_tables # Standard-Regelketten entleeren $IPTABLES -F # Alles abblocken, selbst die interene Kommunikation $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP #=================== # INPUT verarbeiten #=================== # Lokale Kommunikation freigeben $IPTABLES -A INPUT -i $INTERN -j ACCEPT # Antworten aus dem Internet akzeptieren $IPTABLES -A INPUT -i $EXTERN -m state \ --state ESTABLISHED,RELATED -j ACCEPT # ...und den Rest in die Tonne ;-) $IPTABLES -A INPUT -i $EXTERN -j DROP #==================== # OUTPUT verarbeiten #==================== $IPTABLES -A OUTPUT -o $INTERN -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERN -j ACCEPT ---[ schnapp ]--- Viel Glück Jürgen PS. Hier in der ML bevorzugen wir ein 'Du' PPS. Bei www.pro-linux.de gibt es eine recht gute Doku zu <iptables> -- Hast Du Zweifel, lass es ueberzeugend klingen. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /
Vielen Dank für Deine (endlich einmal) konstruktive Hilfe, das Script scheint vernünftig zu sein, da es restrictiv ist, jedenfalls werde ich versuchen es sofort zu testen, hoffentlich klappts. Übrigens ich heiße wirklich LaBelle und es ist kein Phantasiename oder so(*zwincker). Danke auch an Jürgen! Selbstverständlich ist es nicht von vornerein klar Hilfe zu bekommen, aber wenn man eine Frage stellt so kann man doch wenigstens erwarten eine freundliche Antwort zu bekommen und nicht immer schnippische, hämische Bemerkungen, diese kömnnte man sich doch einfach sparen, oder? PS: Wo muss ich denn diese dynamische IP definieren? Vielleicht im ipup-local script und wenn ja wie? Und diese Kernelparameter in /proc/sys/net/ipv4 wie kann man sie am besten für einen effektiven Schutz einstellen, nach einem reboot scheinen sich diese Werte immer in den default Zustand zu bewegen, wenn man zB tcp_fin_timeout auf 30 stellt, nach dem reboot ist der auf 60 Jedenfalls Nochmals Danke! LaBelle -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hi, ich habe den Thread nicht wirklich verfolgt, aber wenn Du eie Iptables Firewall suchst, schau Dir mal meine Website www.wolfgarten.com, dort wirst Du sicherlich fündig... Gruß Sebastian
Am Samstag, 23. Februar 2002 17:51 schrieb Sebastian Wolfgarten:
Hi,
ich habe den Thread nicht wirklich verfolgt, aber wenn Du eie Iptables Firewall suchst, schau Dir mal meine Website www.wolfgarten.com, dort wirst Du sicherlich fündig...
Eine weiteren auf Iptables basierende Packetfilter findest du unter http://sg-packetfilter.sungazer.de bzw. http://sf.net/projects/sg-packetfilter/. Greets Marius
Hallo und Guten Morgen, Lo32LaBelle63@gmx.net:
PS: Wo muss ich denn diese dynamische IP definieren? Vielleicht im ipup-local script und wenn ja wie?
Die IP wird von /etc/ppp/ip-up übergeben, wenn ./ip-up-local übergeben wird. Gerüchteweise habe ich vernommen, daß unterschiedliche Suse-Versionen das unterschiedlich handhaben. Bei mir findet sich die ip in $5. Gruß, Ratti
Hallo, at Sat, 23 Feb 2002 16:26:28 +0100 (MET) Lo32LaBelle63@gmx.net wrote:
----->Vielen Dank für Ihre "Hilfe", aber das ist eine Mailingliste und keine Flirtliste
Zum flirten habe ich keinen Bock und vor allem keine Zeit.
2. Durchsuche mal das Archiv. Ein Thread zu iptables ist hier schon des öfteren gelaufen.
--------> Sie mögen recht haben, aber ich werde momentan von einem Hacker schlimm terrorisiert, der mit allerlei kriminalistischem Unfug (Smurf, IP-Spoof, man in the middle Attacks ) seine "Künste" unter Beweis stellt, so das ich nicht ohne weiteres wie Sie vielleicht mich im Internet aufhalten kann
Anscheint ja doch, sonst hättest Du Deine Mail offline geschrieben und nicht über die Weboberfläche bei GMX. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379 ++ Webdesign ++ PHP Development ++
Hi,
From the keyboard of Lo32LaBelle63,
Hallo,
at Sat, 23 Feb 2002 13:30:30 +0100 (MET) Lo32LaBelle63@gmx.net wrote:
Wenn sich jemand ein wenig besser auskennt, wäre ich für eine Hilfe sehr dankbar
1. Wäre ein Realname nicht schlecht. ----->Vielen Dank für Ihre "Hilfe", aber das ist eine Mailingliste und keine Flirtliste
LoL
2. Durchsuche mal das Archiv. Ein Thread zu iptables ist hier schon des öfteren gelaufen.
--------> Sie mögen recht haben, aber ich werde momentan von einem Hacker schlimm terrorisiert, der mit allerlei kriminalistischem Unfug (Smurf, IP-Spoof, man in the middle Attacks ) seine "Künste" unter Beweis stellt, so das ich nicht ohne weiteres wie Sie vielleicht mich im Internet aufhalten kann und sehr schnell diese iptables-syntax implementieren muss. Wenn man das vorher noch nie gemacht hat, kann es zu einer erheblichen Arbeit ausarten, und wenn jemand über Wissen verfügt, was einem schnell helfen kann, warum sollte er dem anderen nicht helfen. Ich würde es jedenfalls tun. Sie etwa nicht?
LoL Die Liste gewinnt wieder an Witz :) Tipp: Stecker aus der Dose ziehen, ist ehrlich gesagt das sinnvollste was "Sie" tun können. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
participants (8)
-
Adalbert Michelic -
Juergen Schwarting -
Lo32LaBelle63@gmx.net -
Marius Brehler -
Michael Raab -
Ratti -
Sebastian Wolfgarten -
Waldemar Brodkorb